移动目标防御

移动目标防御(MTD)是当今最具影响力的安全创新机会。在过去的几年里，国际上针对移动目标防御的研究一直是非常重视。

美国国土安全部将MTD技术定义为改变游戏规则的新型网络安全技术，美国空军准备在2020年前大范围应用MTD技术解决安全问题。2016年美国第一个MTD技术的专利被颁发。之后国外学者针对MTD技术撰写了大量论文，出版了多个MTD的论文集。

      同时，国际上对MTD的学术讨论也如火如荼。美国计算机学会也举行了多次研讨会，例如2015年在丹佛和2016年在维也纳针对移动目标防御提出了一系列的发展建议。

      移动目标防御技术，主要包括系统随机化，生物启发MTD，网络随机化，云MTD，动态编译等等。研讨会还就威胁建模和量化移动目标防御技术的效能评估进行了推进。理论和定量的模型对于该技术的颠覆性影响至关重要。研讨会为MTD技术从理论层面到实践层面的推进发挥了巨大的作用，会议对为什么定义移动目标防御为改变游戏规则的网络安全新技术做了说明。

现有的静态防御技术主要包括：检测、预防，监测，溯源，威胁修复等，防御的主要关注点在漏洞、木马、病毒等具体的攻击方法。而移动目标防御则更加关注于背后的人。通过动态的思想使攻击面动态变化，让攻击者攻击难度增加。因此移动目标防御已经将网络安全上升至攻击者与防御者之间的博弈问题。

      目前计算机系统的静态性质使其易于攻击，难以防御。攻击者具有不对称的优势，因为他们有时间研究系统，识别漏洞，并自由选择攻击的时间和地点来获得最大的利益。而移动目标防御（MTD）的思想是使系统动态化。通过不断变化的系统和不断变化的攻击面，攻击者将和今天的防守者一样，不得不面对很大的不确定性，难以预测和探索。

      MTD的最终目标是增加攻击者工作量，给攻击者和防御者提供一个网络安全的竞争环境，使他们具备PK的基础，并且希望利用这种竞争让攻防天平倾向于防御者而不是现在的攻击者。

价值主张：CISO们该如何认识移动目标防护的价值？

      做为一种颠覆性的安全防御新技术，怎样评估它的价值呢？美国财富1000强中的CISO们已经将MTD列为他们安全预算中首要采用的技术，可是国内负责网络安全的信息官们有些甚至还没听说过MTD技术。

      那么移动目标防护的好处有多少，价值有多大呢？答案是：巨大。

1. 模式的转变

      移动目标防御是一种颠覆性的安全防御理念，是一种改变游戏规则的技术，不是针对现有技术的优化。

      现有的安全模式优先考虑监测、检测、预防和修复，安全团队基于一个静态的基础设施来进行防护，安全团队通过大量的工作来跟随不断变化的攻击手段、系统漏洞，建立了大量的漏洞库，培养了大量漏洞研究人员。而攻击者却在享受一个相对不变的攻击面，悠闲地喝着咖啡来进行一一攻破，甚至一些小学生，中学生都能实施一些攻击。

      目前大部分的安全创新和技术都基于现有的被动防御模式，只是在研究怎么样可以检测的更快，更完整，响应的更及时，即使使用了自动化和人工智能的技术，也不能扭转天平向攻击者这一侧倾斜的现状，因为攻击者有充足的时间针对不变的信息系统进行研究和渗透。

      然而移动目标防御是根本性地转变，MTD不会给予攻击者一个不变的基础设施，MTD不会像现有的防御一样，把防火墙、入侵检测、杀毒、蜜罐等等一字排开，等着攻击者上门，相反，MTD通过动态地改变基础设施，持续地改变攻击面，攻击者被迫要调用非常大的资源不断分析探测这种变化的架构，且随着时间的推移而难度增大。而不是像现在的防御，时间越长越有利于攻击者。MTD从根本上改变了攻击者和防御者的不对称性。

2. 不需要依赖特征码

      现有的安全理念是基于攻击特征建立起来的，这就存在不可逾越的障碍——不知道特征码的攻击方法，将无法进行识别和防御。移动目标防御技术的出现彻底改变这种被动防御的弊端，让防御者从没有尽头的寻找攻击样本中解脱出来，因为真正的高手不会让其使用的木马或者病毒大范围扩散，这也就是意味着基于特征码的安全策略仅仅能防御比较初级的攻击者。

      卫达安全是国内最早也是唯一一家以移动目标防御技术为主要研究方向的安全公司，卫达“幻境”内网动态防御系统是全球唯一能够做到网络拓扑结构动态变化的安全产品，给攻击者呈现了动态变化的网络基础设施，构建了一个动态迷宫，让攻击者有来无回。

MTD技术的分类

      1.洗牌/重组

      基于Shuffle的MTD技术重新安排了现有的网络配置，在网络层有VM迁移，网络路径重新配置，主机突变等，基于网络级改组的MTD技术改变了主机的网络拓扑和连接性; 在应用级有地址空间随机化，应用程序级别中的Shuffle只影响单个主机，以抵御攻击。

      2.多样化

      基于多样性的MTD技术具有不同的网络和系统组件配置，同时保持相同的操作和功能。在网络层包括网络路由节点多样化，虚拟机多样化，在应用层包括数据多样性，软件多样性和Web应用程序多样性。基于多样性的MTD技术不会改变网络和应用级别中网络组件的连接性。

     转自：安全牛 https://www.aqniu.com/tools-tech/27444.html